每周安全事件报告 2024-03-11 第 11 周

WordPress网站遭受Popup Builder插件漏洞攻击

日期: 2024-03-11
标签: 信息技术, WordPress, CVE-2023-6000

WordPress网站遭到黑客攻击，利用Popup Builder插件旧版本的漏洞，感染了超过3,300个网站。攻击利用的漏洞被跟踪为CVE-2023-6000，是一个跨站脚本（XSS）漏洞，影响Popup Builder 4.2.3及更旧版本。攻击利用这一漏洞感染了超过6,700个网站，显示许多网站管理员没有及时打补丁。最近三周内，Sucuri发现了一场新的攻击活动，针对WordPress插件的相同漏洞，感染了3,329个网站。攻击通过在WordPress管理界面的自定义JavaScript或自定义CSS部分进行感染，并将恶意代码存储在'wp_postmeta'数据库表中。恶意代码的主要功能是作为Popup Builder插件事件的事件处理程序，例如'sgpb-ShouldOpen'、'sgpb-ShouldClose'等。这些攻击的主要目的似乎是将感染网站的访问者重定向到恶意目的地，如钓鱼页面和恶意软件下载站点。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/

https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/

Magnet Goblin利用1-day 漏洞入侵服务器

日期: 2024-03-11
标签: 信息技术, Magnet Goblin

一个名为 Magnet Goblin 的出于经济动机的黑客组织利用各种 1-day 漏洞来破坏面向公众的服务器，并在 Windows 和 Linux 系统上部署自定义恶意软件。1-day 漏洞是指已经发布了补丁的公开披露的漏洞。黑客攻击的部分设备或服务包括 Ivanti Connect Secure（CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893.、Apache ActiveMQ、ConnectWise ScreenConnect、Qlik Sense（CVE -2023-41265、CVE-2023-41266、CVE-2023-48365) 和 Magento (CVE-2022-24086)。

Magnet Goblin 利用这些缺陷使用自定义恶意软件（特别是 NerbianRAT 和 MiniNerbian）以及 WARPWIRE JavaScript 窃取程序的自定义变体来感染服务器。

详情

https://www.bleepingcomputer.com/news/security/magnet-goblin-hackers-use-1-day-flaws-to-drop-custom-linux-malware/

https://www.bleepingcomputer.com/news/security/magnet-goblin-hackers-use-1-day-flaws-to-drop-custom-linux-malware/

日本将 PyPI 供应链网络攻击归咎于朝鲜黑客

日期: 2024-03-11
标签: 信息技术, *部门, Lazarus Group, PyPI 软件存储库, 供应链攻击

日本网络安全官员警告称，朝鲜 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包，其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为 Comebacker 的危险特洛伊木马。日本 CERT表示，“此次确认的恶意 Python 软件包已被下载约 300 至 1,200 次。” “攻击者可能会针对用户的拼写错误来下载恶意软件。

详情

https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack

https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack

Leather加密货币钱包警告假应用

日期: 2024-03-12
标签: 金融业, Wallet drainers, Leather加密货币钱包

Leather 加密货币钱包的开发者警告称，苹果应用商店中存在一款假冒应用程序，用户报告称该应用程序，窃取了他们的数字资产。Wallet drainers是一些应用程序或恶意脚本，它们会诱骗用户输入秘密密码或执行恶意交易，从而使攻击者能够从用户的钱包中窃取所有数字资产，包括 NFT 和加密货币。Wallet drainers在过去一年中变得越来越普遍，威胁行为者会 侵入 拥有大量关注者的 社交媒体帐户，以推广包含恶意网站的网络钓鱼网站，或取出广告 以吸引访问者访问诱骗用户进入其网站。

详情

https://www.bleepingcomputer.com/news/security/fake-leather-wallet-app-on-apple-app-store-is-a-crypto-drainer/

https://www.bleepingcomputer.com/news/security/fake-leather-wallet-app-on-apple-app-store-is-a-crypto-drainer/

新银行木马 CHAVECLOAK 通过网络钓鱼策略瞄准巴西用户

日期: 2024-03-12
标签: 巴西, 信息技术, CHAVECLOAK, 银行木马

巴西用户成为了一个新的银行木马CHAVECLOAK的目标，该木马通过带有PDF附件的钓鱼邮件进行传播。这种复杂的攻击涉及PDF下载ZIP文件，然后利用DLL侧加载技术执行最终的恶意软件。攻击链包括使用合同主题的DocuSign诱饵诱使用户打开PDF文件，其中包含一个按钮，用于阅读和签署文件。实际上，单击按钮会导致从远程链接检索安装程序文件，该链接使用Goo.su URL缩短服务缩短。安装程序中包含一个名为"Lightshot.exe"的可执行文件，该文件利用DLL侧加载加载"Lightshot.dll"，这是CHAVECLOAK恶意软件，用于窃取敏感信息。这包括收集系统元数据并运行检查，以确定受损机器是否位于巴西。

详情

https://thehackernews.com/2024/03/new-banking-*-chavecloak-targets.html

https://thehackernews.com/2024/03/new-banking-*-chavecloak-targets.html

恶意软件活动利用 Popup Builder WordPress 插件感染 3,900 多个网站

日期: 2024-03-13
标签: 信息技术, WordPress

一个新的恶意软件活动正在利用 WordPress 的 Popup Builder 插件中的高严重性安全漏洞来注入恶意 JavaScript 代码。据 Sucuri 称，该活动在过去三周内已感染了 3,900 多个网站。安全研究员 Puja Srivastava在 3 月 7 日的一份报告中表示：“这些攻击是由不到一个月的域名精心策划的，注册日期可以追溯到 2024 年 2 月 12 日。”感染序列涉及利用 CVE-2023-6000，这是 Popup Builder 中的一个安全漏洞，可被利用来创建恶意管理员用户并安装任意插件。

详情

https://thehackernews.com/2024/03/malware-campaign-exploits-popup-builder.html

https://thehackernews.com/2024/03/malware-campaign-exploits-popup-builder.html

黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件

日期: 2024-03-14
标签: 信息技术, DarkGate, Windows SmartScreen 漏洞

DarkGate 恶意软件操作发起的新一波攻击利用现已修复的 Windows Defender SmartScreen 漏洞来绕过安全检查并自动安装虚假软件安装程序。SmartScreen 是一项 Windows 安全功能，当用户尝试运行从 Internet 下载的无法识别或可疑文件时，它会显示警告。 被追踪为 CVE-2024-21412 的漏洞是 Windows Defender SmartScreen 漏洞，允许特制的下载文件绕过这些安全警告。攻击者可以通过创建指向远程 SMB 共享上托管的另一个 .url 文件的 Windows Internet 快捷方式（.url 文件）来利用该漏洞，这将导致最终位置的文件自动执行。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

PixPirate Android 恶意软件使用新策略隐藏在手机上

日期: 2024-03-14
标签: 信息技术, PixPirate 银行木马

研究人员发现适用于 Android 的最新版本的 PixPirate 银行木马采用了一种新方法，可以隐藏在手机上，同时保持活动状态，即使其滴管应用程序已被删除。PixPirate 是一种新的 Android 恶意软件，由 Cleafy TIR 团队上个月首次记录，针对拉丁美洲银行。IBM 的一份新报告解释说，与恶意软件试图隐藏其图标的标准策略（在 Android 9 及以下版本中可能存在这种策略）相反，PixPirate 不使用启动器图标。这使得恶意软件能够在所有最新的 Android 版本（最高版本 14）中保持隐藏状态。

详情

https://www.bleepingcomputer.com/news/security/pixpirate-android-malware-uses-new-tactic-to-hide-on-phones/

https://www.bleepingcomputer.com/news/security/pixpirate-android-malware-uses-new-tactic-to-hide-on-phones/

PixPirate：巧妙隐藏的巴西银行木马病毒

日期: 2024-03-14
标签: 信息技术, 金融业, PixPirate

巴西一款高级银行木马病毒利用了一种新颖的方法来在安卓设备上隐藏自己的存在。名为"PixPirate"的多面手恶意软件专门针对巴西*银行开发的用于进行银行转账的应用Pix进行利用。Pix成为巴西境内网络犯罪分子的目标，因为尽管只有短短3年的历史，但已经整合到大多数巴西银行的在线平台，并且根据Statista的数据拥有超过1.5亿用户。每个月，Pix处理大约30亿笔交易，总额约为2500亿巴西雷亚尔。PixPirate最新的强大技巧是在安卓设备上巧妙地隐藏自己——没有应用图标，似乎完全没有任何痕迹——尽管谷歌工程师设计了防止这种特定情况发生的保护机制。专家警告称，类似的策略也可能被用于针对美国和欧盟的银行恶意软件。PixPirate的传播方式是通过伪装成银行认证应用的方式传播，通过WhatsApp或短信发送给潜在受害者。点击链接会下载一个下载器，然后提示用户进一步下载一个“更新”版本的伪装应用（即PixPirate的载荷）。一旦舒适地嵌入到安卓手机中，该恶意软件会等待用户打开真正的银行应用。此时，它会立即采取行动，获取用户输入的登录凭据并将其发送到攻击者控制的C2服务器。随着账户访问权限，它会覆盖一个虚假的第二屏幕来欺骗用户。

详情

https://www.darkreading.com/application-security/pixpirate-rat-invisibly-triggers-wire-transfers-android-devices

https://www.darkreading.com/application-security/pixpirate-rat-invisibly-triggers-wire-transfers-android-devices

黑客通过 AWS 和 GitHub 部署 VCURMS 和 STRRAT 木马

日期: 2024-03-14
标签: 信息技术, VCURMS, STRRAT

据观察，新的网络钓鱼活动通过基于 Java 的恶意下载程序传播 VCURMS 和 STRRAT 等远程访问木马 (RAT)。攻击者将恶意软件存储在 Amazon Web Services (AWS) 和 GitHub 等公共服务上，并使用商业保护程序来避免检测到恶意软件。该活动的一个不寻常的方面是 VCURMS 使用 Proton Mail 电子邮件地址（“sacriliage@proton[.]me”）与命令和控制 (C2) 服务器进行通信。攻击链以一封网络钓鱼电子邮件开始，敦促收件人单击按钮来验证付款信息，从而导致下载 AWS 上托管的恶意 JAR 文件（“Payment-Advice.jar”）。执行 JAR 文件会导致检索另外两个 JAR 文件，然后分别运行这两个文件来启动这两个特洛伊木马。

详情

https://thehackernews.com/2024/03/alert-cybercriminals-deploying-vcurms.html

https://thehackernews.com/2024/03/alert-cybercriminals-deploying-vcurms.html

DarkGate恶意软件利用Windows SmartScreen绕过漏洞进行网络钓鱼活动

日期: 2024-03-15
标签: 信息技术, DarkGate, Windows SmartScreen绕过漏洞

DarkGate恶意软件运营商利用一个已修补的Windows SmartScreen绕过漏洞进行网络钓鱼活动，通过分发假冒的微软软件安装程序来传播恶意代码。Trend Micro研究人员发现了一个零日漏洞，被追踪为CVE-2024-21412，这个漏洞可以绕过Internet Shortcut Files安全特性，微软在今年早些时候作为二月份的“补丁星期二”更新的一部分对其进行了修补。不过在此之前，攻击者如Water Hydra就利用它进行了恶意目的的攻击。现在Trend Micro研究人员发现，DarkGate运营商在一月中旬的一次网络钓鱼活动中利用了这个漏洞，诱使用户点击包含Google DoubleClick数字营销（DDM）开放重定向的PDF文件。这些重定向将受害者引导到托管Microsoft Windows SmartScreen绕过CVE-2024-21412的受损网站，进而导致恶意的微软（.MSI）安装程序。

详情

https://www.darkreading.com/endpoint-security/windows-smartscreen-bypass-flaw-exploited-to-drop-darkgate-rat

https://www.darkreading.com/endpoint-security/windows-smartscreen-bypass-flaw-exploited-to-drop-darkgate-rat